Alphorm 160504143429

04/05/2016
Hacking & Sécurité, Expert

Module :
Vulnérabilités Web
Hamza KONDAH
Site : http://www.alphorm.com Formateur et Consultant indépendant
Blog : http://blog.alphorm.com Microsoft MVP en Sécurité des Entreprises
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
1
04/05/2016
Plan
• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
2
04/05/2016
Présentation du formateur
Kondah Hamza
• Kondah.hamza@gmail.com
• Consultant & Chercheur Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
Mon Site Web : http://www.kondah.com
Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
3
04/05/2016
Mes formations sur Alphorm
4
04/05/2016
Hacking & Sécurité
Réseaux sans Metasploit

fils Contre mesures
Reconnaissance Reverse
Exploitation Engineering
& Scanning
Vulnérabilités Forensic Reporting

web
Vulnérabilité Mise en
applicatifs situation
Vulnérabilités Mobile
réseaux
5
04/05/2016
Plan de la formation
• Introduction
• Reconnaissance
• Exploitation
• Client Side
• Authentification
• CMS
• Contremesures et reporting
• Conclusion et perspectives
6
04/05/2016
Objectifs de la formation
• Test de pénétration d’applications web
• Comprendre l’architecture et analyser la surface d’attaque
• Exploitation basique et avancée
• Attaques au niveau de plusieurs couches
• Approfondir ses connaissances en pentesting d’applications web
• Adopter une approche offensive
• Protéger vos applications web
• Structuration de connaissances
• Mise en situation réel

7
04/05/2016
Publics concernés
• Particulier
• Pentesteur
• Consultant
• Développeur
• Responsables DSI
• Responsables sécurité SI
• Toute personne en charge de la sécurité
• Personne désirant apprendre de nouvelles choses ;)
8
04/05/2016
Connaissances requises
• Culture IT
• Culture dans la sécurité des applications web
• Connaissances en programmation web ( PHP , Javascript ,HTML etc..)
• Avoir suivis les deux premiers niveaux
9
04/05/2016
Liens utiles
• www.securitytube.net/
• https://www.owasp.com
• http://infosecinstitute.com
10
04/05/2016
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
11
04/05/2016
Are you ready ? ☺
12
04/05/2016
Introduction
Mise en situation
Hamza KONDAH
13
04/05/2016
Plan
• Introduction
• Quelques statistiques
14
04/05/2016
Introduction
• Démocratisation
• Ouverture
• Stockage de données sensibles
• Vie privée
• Confiance
• Social Engineering
• Sécurité ?
• Une nécessité !
•
15
04/05/2016
Quelques statistiques
• 99 % des sites web on en moins 1 vulnérabilité
• 82 % de sites web on en moins une vulnérabilité critique
• 90 % des incidents ne sont jamais révélés
• 30 % des parties piratés on déjà eu connaissance de la faille
• #1 Cross Site Scripting
• #1 Des exploitations : Humain
16
04/05/2016
Ce qu’on a couvert
• Mise en situation
17
04/05/2016
Introduction
Méthodologie de test de
pénétration d'applications web
Hamza KONDAH
18
04/05/2016
Plan
• Introduction
• Méthodologie
19
04/05/2016
Introduction
• Ingénierie organisationnelle
• Gestion des connaissances
• Efficience
• Point de départ
20
04/05/2016
Méthodologie
• Black Box
• White Box
• Grey Box
• Contractuelle
• Interne ou externe
• Engagement
• Limites
21
04/05/2016
Méthodologie
• Cible
• Temps
• Evaluation
• Partis notifiés
• Identification
• Flag
• Livrable
• Test de pénétration
22
04/05/2016
• Méthodologie de test de pénétration d'applications web
23
04/05/2016
Introduction
Mise en place du lab
Hamza KONDAH
24
04/05/2016
Plan
• Introduction
• Architecture
• Lab : Mise en place du lab
25
04/05/2016
Introduction
• Découverte des éléments du lab
• Paramétrage
• Pas forcement « EXACTEMENT » ce qu’on est entrain de faire
• Une des étapes les plus importantes
• Tester avant de continuer
• Ne pas passer par cette vidéo
26
04/05/2016
Architecture
27
04/05/2016
Lab : Mise en place du lab
28
04/05/2016
• Mise en place du lab
29
04/05/2016
Reconnaissance
Introduction
Hamza KONDAH
30
04/05/2016
Plan
• Introduction
• Lab : Introduction à la reconnaissance
31
04/05/2016
Introduction
• Base pyramidale
• Orientation
• Recherches
• Maximum de source
• Passif Actif
• Bases de données public
• Important : La reconnaissance n’est pas le scanning
• Pensez Social engineering !
• PS : Tout dépend du point de départ ( Black,Grey ou white box)
• Google Hacking Dorks ;)

32
04/05/2016
Lab : Introduction à la reconnaissance
33
04/05/2016
• Reconnaissance
• La reconnaissance n’est pas le scanning
• Google Hacking Dorks
• Recherches initiales
34
04/05/2016
Reconnaissance
OWASP
Hamza KONDAH
35
04/05/2016
Plan
• Introduction
• OWASP TOP 10
• Lab : OWASP
36
04/05/2016
Introduction
• Open Web Application Security Project (OWASP)
• Communauté (Actif ) travaillant sur la sécurité des applications Web
• Libre et ouverte à tous
• Recommandations de sécurisation Web
• Méthodes et outils de référence
• Plusieurs projets
37
04/05/2016
OWASP TOP 10
38
04/05/2016
OWASP TOP 10
39
04/05/2016
Lab : OWASP
40
04/05/2016
• Importance OWASP
• Contenu Riche et à jours
• Open Source
• Contribuez !
• Dans la prochaine présentation Découverte des vulnérabilités qu’on

va pouvoir exploiter ensemble suivis par le scanning et découverte de
ces vulnérabilités en utilisant différents outils et techniques .
41
04/05/2016
Reconnaissance
Scanning de base
et énumération
Hamza KONDAH
42
04/05/2016
Plan
• Introduction
• Objectifs
• Lab : Scanning
43
04/05/2016
Introduction
• Une question de choix
• Outils selon les besoins et le niveau
• Ingénierie organisationnelle
• Simplicité & puissance Lecture plus facile + efficacité

• Pensez reporting ( pourquoi pas )
• Interopérabilité
• Exportation
• Attention aux faux positifs Toujours tester à la main

• Ne pas se fier à 100 % aux scanners
44
04/05/2016
Objectifs
• Organisation et Structuration
• Compréhension du mécanisme de fonctionnement
• Politique
• Dispositifs
• Cible
• Technologie
• Défense
45
04/05/2016
Lab : Scanning de base et énumération
46
04/05/2016
• Objectif
• Outils
• Pratiquez !
47
04/05/2016
Reconnaissance
Outils Scanning
Proxy & Nessus
Hamza KONDAH
48
04/05/2016
Plan
• Introduction
• Lab : Outils Scanning Proxy & Nessus
49
04/05/2016
Introduction
• Outils scanning proxy
• Puissance
• Live
• Fuzzing
• Bonnes pratiques
• Scanning avancé ?
• Nessus
• Bases de données
50
04/05/2016
Lab : Outils Scanning Proxy & Nessus
51
04/05/2016
• Outils
• Pratiquez !
52
04/05/2016
Exploitation
Introduction
Hamza KONDAH
53
04/05/2016
Plan
• Introduction
• Organisation
54
04/05/2016
Introduction
• Découverte des différentes vulnérabilités + Exploitation
• Mise en situation réelle
• Favorisez la pratique
• Scanning = Automatisé & pas sûr ( faux positif)
• A la main = Vérification + sûr
• PS : pas toutes les vulnérabilités sont découvertes grâce aux scanners
• Exploitation faille par faille
• Niveau très avancé
• Balayage
55
04/05/2016
Organisation
Analyse &
Compréhension Exploitation
Scanning et
basique et
de la vérification
avancée
vulnérabilité
56
04/05/2016
• Introduction chapitre exploitation
• Structuration
57
04/05/2016
Exploitation
RFI et LFI
Hamza KONDAH
58
04/05/2016
Plan
• Local File Inclusion
• Remote file inclusion
• LAB : RFI & LFI
59
04/05/2016
Local File Inclusion

• Local File Inclusion LFI
• Permet à un utilisateur d’injecter des fichiers locaux à partir d’une URL
vulnérable
• Out de la racine
• Fichiers critiques
• Exemples :
• /etc/passwd
• /etc/shadow
• Injection de shell
60
04/05/2016
Remote file inclusion

• Remote File Inclusion RFI
• Type de vulnérabilité trouvée le plus souvent sur des sites web ( pas que )
• Inclure un fichier distant
• Principalement un shell
• Commande exécution
• XSS
• Dénis de service
• Manipulation de données Shell
61
04/05/2016
LAB : RFI & LFI
62
04/05/2016
• LFI
• RFI
• Exploitation basique & avancé
63
04/05/2016
Exploitation
Faille Upload
Hamza KONDAH
64
04/05/2016
Plan
• Introduction
• Lab : Faille Upload
65
04/05/2016
Introduction
• Une des failles les plus dangereuses
• La balise upload permet d'uploader n'importe quel fichier
• Upload de fichier malicieux
• Exemples : shell (c99, r57, shell customisé etc…)
• Filtres ? Bypassable
• Plusieurs techniques :
• Bypassing extension
• Content-type
• Etc…
66
04/05/2016
Lab : Faille Upload
67
04/05/2016
• Faille upload
• Multiple manipulation
68
04/05/2016
Exploitation
Cross Site Scripting
Hamza KONDAH
69
04/05/2016
Plan
• Introduction
• Reflected XSS
• Persistent XSS
• DOM XSS
• Self-XSS
• BeeF
• Architecture BeeF
• XSS Chef
• Lab : XSS
70
04/05/2016
Introduction
• Cross Site Scripting XSS
• Injecter du contenu dans une page
• Javascript
• Simple ? Pas intéressant ? La réponse est non

• La brise qui cache la tempête
• Redirection, exécution, frame, Vol d'informations
exploitations avancées etc…
71
04/05/2016
Reflected XSS
• Une XSS non persistente
• Très présent
• Input non vérifié
• Injection de code
• Manipulation de données
• Ingénierie sociale
72
04/05/2016
Persistent XSS
• Persistante
• Danger !
• Attaques puissantes
• Bases de données, fichiers…
• Exemple : Forums
73
04/05/2016
DOM XSS
• Assez ancien
• Client-Side
• Pas d’encodage
• Zone Local
• Droit navigateur ou autre +++

• Bypass Sandbox
74
04/05/2016
Self-XSS
• Arnaque de script
• Site to Site
• Piège afin que vous donniez accès à votre compte
Facebook par exemple

• Publication, manipulation données etc…
• Incitation à exécuter un code malveillant permettant d’accéder à un

compte pour frauder, étendre le réseau du pirate etc…
75
04/05/2016
BeeF
• The Browser Exploitation Framework ( http://beefproject.com/ )
• Framework
• Puissant et facile d’utilisation
• Extensions
• Metasploit
• Client-side
• drive-by malware
• Accède directement à l’environnement du client
76
04/05/2016
Architecture BeeF
77
04/05/2016
Architecture BeeF
78
04/05/2016
XSS Chef : Allez plus loin …

• Script écrit en PHP/Javascript (développé à partir de BeEF)
• Permettre de faire du pentesting sur des extensions Chrome
• Failles XSS.
• Serveur web avec PHP installé en local
• Faciliter l’exploitation
79
04/05/2016
Lab : XSS
80
04/05/2016
• Exploitation
• Analyse
• Exploitation avancée
• Proxy XSS
• Enjoy ☺
81
04/05/2016
Exploitation
Cross Site Request
Forgery
Hamza KONDAH
82
04/05/2016
Plan
• Introduction
• Illustration
• LAB : CSRF
83
04/05/2016
Introduction
• Cross-Site Request Forgery CSRF
• Vulnérabilité des services d'authentification web
• Transmettre à un utilisateur authentifié une requête HTTP malveillante
• Action interne
• Pas de conscience et en utilisant ses propres droits.
• L'attaque étant actionnée par l'utilisateur, un grand nombre de

systèmes d'authentification sont contournés.
84
04/05/2016
Illustration
85
04/05/2016
LAB : CSRF
86
04/05/2016
• CSRF
• Exploitation basique
87
04/05/2016
Exploitation
Injection SQL
Hamza KONDAH
88
04/05/2016
Plan
• Introduction
• Illustration
• Injection SQL
• Exploitation
• LAB : Sql Injection
89
04/05/2016
Introduction
• Il s’agit de la vulnérabilité des applications Web la plus répandue sur
Internet
• La faille concerne les applications et non pas les bases de données
• L’injection SQL est une technique utilisée pour exploiter la vulnérabilité

d’absence de validation des données entrées pour envoyer des
commandes SQL à des bases de données
• Problématique : absence de distinction entre le plan de contrôle et le
plan de données dans SQL
• Sans un contrôle strict sur la syntaxe SQL dans les données entrées par
l’utilisateur, la requête SQL générée peut faire en sorte que ces données
soient interprétées en tant qu’instruction SQL au lieu de données
ordinaires
90
04/05/2016
Illustration
91
04/05/2016
Injection SQL
• Le code suivant construit et exécute dynamiquement une requête SQL
qui cherche les éléments correspondants à un nom spécifique.
• La requête restreint les éléments affichés à ceux dont le propriétaire
correspond au nom d'utilisateur de celui actuellement authentifié :
• La requête que ce code a exécute est la suivante :
92
04/05/2016
Injection SQL
• Cependant, parce que la requête est construite dynamiquement par la concaténation
d'une chaîne de requête de base constante et une chaîne entrée par l'utilisateur, la
requête ne se comporte correctement que si itemName ne contient pas d’apostrophe. Si
un attaquant avec le nom d'utilisateur Wiley entre la chaîne:
• pour itemName, la requête devient comme suit :
• L’addition de OR 'a'='a’ engendre que le résultat retourné par WHERE est toujours Vrai. La
requête devient tout simplement SELECT * FROM items;
• Cette simplification de la requête permet à l'attaquant de contourner l'exigence que la
requête ne renvoie que des articles appartenant à l'utilisateur authentifié; la requête
renvoie désormais toutes les entrées stockées dans la table des éléments,
indépendamment de leur propriétaire spécifié.
93
04/05/2016
Exploitation
• Error Based
• Blind Sql injection
• SQLmap
• Detection ( Vega, Burpsuite etc…)
94
04/05/2016
LAB : Injection SQL
95
04/05/2016
• Injection SQL
• Bases
• Exploitation basique
• Exploitation main nue
• Exploitation d’outils automatisés
96
04/05/2016
Exploitation
Click Jacking
Hamza KONDAH
97
04/05/2016
Plan
• Introduction
• Illustration
• LAB : Click Jacking
98
04/05/2016
Introduction
• Technique malveillante visant à pousser un internaute à fournir des informations
confidentielles
• Prendre le contrôle de son ordinateur
• Pousser à cliquer sur des liens piégés
• Utiliser le clic de votre souris à d’autres fins, potentiellement malveillantes.
• Redirection
• Phishing
• Frames
• Techniques ? Clickjacking +Cursorjacking +Likejacking
99
04/05/2016
Illustration
100
04/05/2016
LAB : Clickjacking
101
04/05/2016
• Clickjacking
• Bases
• Exploitation réel
• Cursorjacking
102
04/05/2016
Exploitation
Injection HTML
Hamza KONDAH
103
04/05/2016
Plan
• Introduction
• LAB : Injection HTML
104
04/05/2016
Introduction
• Les attaques de type injection HTML consistent à envoyer une chaîne
contenant un code HTML malveillant
• Plusieurs possibilités
• Assez ancienne
• Front end HTML Injection/XSS ( Client Side)

• Back end SQL Injection (Server Side)
105
04/05/2016
LAB : Injection HTML
106
04/05/2016
• Injection HTML
107
04/05/2016
Exploitation
Injection de
Commandes
Hamza KONDAH
108
04/05/2016
Plan
• Introduction
• LAB : Injection de commandes
109
04/05/2016
Introduction
• Script
• Exécution de commandes
• Shell
• Never trust user inputs
• Plusieurs commendes
• Bypassement de filtres
• EscapeShellArg
• EscapeShellCmd
110
04/05/2016
LAB : Injection de commandes
111
04/05/2016
• Injection commandes
• Pas aussi simple
112
04/05/2016
Exploitation
Server-Side
Hamza KONDAH
113
04/05/2016
Plan
• Introduction
• LAB : Server-Side
114
04/05/2016
Introduction
• Infrastructure
• Application Web Tourne sur un serveur

• Services
• Vulnérabilités
• Sécurisation ? Nécessaire !
• Dénis de service
• Metasploitable2
115
04/05/2016
LAB : Server-Side
116
04/05/2016
• Exploitation Server Side
117
04/05/2016
Client Side
Introduction
Hamza KONDAH
118
04/05/2016
Plan
• Introduction
119
04/05/2016
Introduction
• Une porte dorée
• Point à étudier
• Navigateur
• Applet
• Script malveillant
• Sécurisation des transmissions
• Cookie
• MITM
• Protocoles sécurisés ? Attaque sur l’authentification
120
04/05/2016
• Introduction chapitre attaques client side
121
04/05/2016
Client Side
Exploitation
Hamza KONDAH
122
04/05/2016
Plan
• Introduction
• LAB : Exploitation Client Side
123
04/05/2016
Introduction
• Point à ne pas négliger
• Plusieurs exploitations
• Web backdoor
• Scripts
• Navigateurs
• Metasploit
• BeEf
124
04/05/2016
LAB : Exploitation Client Side
125
04/05/2016
• Exploitation Client Side
• Bases
• Manipulation
• What else ? SE
126
04/05/2016
Client Side
Man In The Middle
Hamza KONDAH
127
04/05/2016
Plan
• Introduction
• Illustration
• LAB : MiTM
128
04/05/2016
Introduction
• L’homme au milieu
• Attaque la plus répondue en entreprise
• Chaotique
• Plusieurs exploitations
• Manipulation TOTALE !
• Qu’en est il des protocoles sécurisés ?
• À découvrir lors du chapitre sur l’attaque au niveau de l’authentification
• Compréhension LA BASE !
129
04/05/2016
Illustration
130
04/05/2016
LAB : MiTM
131
04/05/2016
• Exploitation
• Compréhension
• « Vol comme un papillon , pique comme une abeille »
132
04/05/2016
Client Side
Social Engineering
Hamza KONDAH
133
04/05/2016
Plan
• Introduction
• SET
• Autres techniques
• LAB : Social Engenering
134
04/05/2016
Introduction
• L'ingénierie sociale
• Forme d'acquisition déloyale d'information
• Escroquerie
• Cette pratique exploite les failles humaines
• Utilisant ses connaissances, son charisme, l'imposture ou le culot,

l'attaquant abuse de la confiance, de l'ignorance ou de la crédulité des
personnes possédant ce qu'il tente d'obtenir.
135
04/05/2016
SET
• SET (Social Engineering Toolkit)
• Un outil écrit en python qui propose
• Diverses méthodes d'exploitation en utilisant l'ingénierie

sociale
• Modules utilisant Metasploit
• Automatisation
• Combinaison
136
04/05/2016
Autres techniques
• Tabnabing
• Manipulation
• Confiance
• Peur
• Vous ne verrais jamais plus le web de la même manière …
137
04/05/2016
LAB : Social Engineering
138
04/05/2016
• Exploitation
139
04/05/2016
Attaque sur l'authentification
Introduction
Hamza KONDAH
140
04/05/2016
Plan
• Introduction
141
04/05/2016
Introduction
• Plusieurs facteurs
• Single Point Of Failure
• 3DS SECURE
• Authentification multi facteurs ++

• Reste vulnérable
• Protocoles sécurisés
• Web Application Firewall ? On en parlera lors des contremesures
142
04/05/2016
• Introduction chapitre attaque sur l’authentification
143
04/05/2016
Session Hijacking
Hamza KONDAH
144
04/05/2016
Plan
• Introduction
• Illustration
• Wireshark
• LAB : Session Hijacking
145
04/05/2016
Introduction
• Orienté MiTM
• Hijacking de sessions
• Paquets transitent vers le Hacker
• Gestion de transition
• Modification de paquets
• Cookie
• Exploitation de session
146
04/05/2016
Illustration
147
04/05/2016
Wireshark
• Wireshark est un analyseur de paquets libre
• Utilisé dans :
Le dépannage et l'analyse de réseaux informatiques
Le développement de protocoles
L'éducation et la rétro-ingénierie.
• Son appellation d'origine Ethereal

• Wireshark reconnaît 1 515 protocoles ☺
148
04/05/2016
LAB : Session Hijacking
149
04/05/2016
• Wireshark
• Théorie
• Pratique
150
04/05/2016
Brute Force
Hamza KONDAH
151
04/05/2016
Plan
• Introduction
• LAB : Brute Force
152
04/05/2016
Introduction
• Marche à 100 %
• Tester toutes les combinaisons possibles
• Dictionnaires
• Outils automatisés
• Script
• Evasion
• Protection Bypassable
• Contre l’authentification … mais pas que !
• Protection ? Contremesures ;)
153
04/05/2016
LAB : Brute Force
154
04/05/2016
• Brute Force
155
04/05/2016
Attaque sur les

protocoles sécurisés
Hamza KONDAH
156
04/05/2016
Plan
• Introduction
• LAB :Attaque sur les protocoles sécurisés
157
04/05/2016
Introduction
• Protocoles sécurisés
• HTTPS et compagnie
• Sécurisé ?
• Je ne croit pas ☺
• Analyse
• Exploitation
• Man in The Middle EVERYWHERE !
• SSLSTRIP SSLSCAN SSLYZE
• Erreur certificat
• A VOS MACHINES !!!
158
04/05/2016
LAB : Attaque sur les protocoles sécurisés
159
04/05/2016
• Analyse
• Attaque
• MiTM
• SSLSTRIP
160
04/05/2016
CMS
Introduction
Hamza KONDAH
161
04/05/2016
Plan
• Introduction
• Illustration
• LAB : Introduction aux CMS
162
04/05/2016
Introduction
• CMS - Système de gestion de contenu
• Ils permettent à plusieurs individus de travailler sur un même document ;
• Ils fournissent une chaîne de publication offrant par exemple la possibilité de

mettre en ligne le contenu des documents ;
• Ils permettent de séparer les opérations de gestion de la forme et du contenu ;
• Ils permettent de structurer le contenu (utilisation de FAQ, de documents,

de blogs, de forums etc.) ;
• Ils permettent de hiérarchiser les utilisateurs et de leur attribuer des rôles et des
permissions (utilisateur anonyme, administrateur, contributeur, etc.) ;
• Utilisation exponentiel
163
04/05/2016
Illustration
164
04/05/2016
Illustration
165
04/05/2016
LAB : CMS
166
04/05/2016
• CMS
• Découverte
• Mise en situation
167
04/05/2016
CMS
Attaques sur les CMS
Hamza KONDAH
168
04/05/2016
Plan
• Introduction
• LAB : Hacking CMS
169
04/05/2016
Introduction
• Plusieurs vecteurs d’attaques
• Joomscan
• Wpscan
• Plugins
• Themes
• Phishing
• Sql injection
• Exploit
• XSS
170
04/05/2016
LAB : Hacking CMS
171
04/05/2016
• Analyse
• Scan
• Exploitation
• Différents CMS
172
04/05/2016
CMS
Sécurisation CMS
Hamza KONDAH
173
04/05/2016
Plan
• Introduction
• LAB : Sécurisation CMS
174
04/05/2016
Introduction
• Sécurité Veille & Sensibilisation
• Plugins
• Politique
• Backup
• On va pouvoir découvrir tout ça
• A vos machines !
175
04/05/2016
LAB : Sécurisation CMS
176
04/05/2016
• Sécurisation CMS
177
04/05/2016
Contremesures et
reporting
Contremesures
Hamza KONDAH
178
04/05/2016
Plan
• Introduction
• CSRF
• XSS
• SQL Injection
• Lab : WAF & SIEM
179
04/05/2016
Introduction
• Contre mesures
• Vulnérabilités les plus répondu
• Sécurité lors de la conception
• Système SDLC
• Web Application Firewall
• SIEM
• Secure Coding Un module arrive ☺
180
04/05/2016
CSRF
• Utilisation Token « Aléatoire »
• Challenge
• Associé à une session
• Par session/requete
181
04/05/2016
XSS
• Validation Input Utilisateurs
• Encoder les output
• Désactivation Client Side Scripts
182
04/05/2016
SQL Injection
• Analyse statique
• Modélisation des attaques
• Analyse l’architecture du système du point de vue de l’attaquant pour mieux voir les pistes d’attaques
[possibilité d’utilisation du CAPEC : Common Attack Pattern Enumeration and Classification]
(http://capec.mitre.org)
• Diffère des tests de pénétration du fait qu’elle n’effectue pas l’attaque mais plutôt analyse l’aspect
conceptuel pour anticiper les failles
• Analyse du code source
• Analyse de la qualité dans l’objectif d’optimisation
• Analyse des faiblesses du code source : spécifique aux failles de sécurité pouvant êtres détectées à
partir du code source
• Analyse dynamique : évaluation du programme en cours d’exécution (l’objectif est de voir comment le
programme réagira vis-à-vis de situations anormales
• Test de données aléatoires (fuzzing)
• Tests de stress, Tests d’erreurs…

183
04/05/2016
Lab : WAF & SIEM
184
04/05/2016
• Contremesures
• WAF
• SIEM
185
04/05/2016
Contremesures et reporting
Reporting
Hamza KONDAH
186
04/05/2016
Plan
• Introduction
• Illustration
• LAB : Reporting
187
04/05/2016
Introduction
• Rapport
• Closes
• Agreement
• Coté légal
• Point de départ
• Grammaire !
• PCI
• Cobilt / itil
188
04/05/2016
Illustration
189
04/05/2016
Illustration
190
04/05/2016
Illustration
191
04/05/2016
Illustration
192
04/05/2016
Illustration
193
04/05/2016
Illustration
194
04/05/2016
Illustration
195
04/05/2016
LAB : Reporting
196
04/05/2016
• Reporting
• Enjoy ☺
197
04/05/2016
Conclusion
et Perspectives
Hamza KONDAH
198
04/05/2016
Présentation du formateur
Kondah Hamza
• Kondah.hamza@gmail.com
• Consultant & Chercheur Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
Mon Site Web : http://www.kondah.com
Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
199
04/05/2016
Hacking & Sécurité
Réseaux sans Metasploit

fils Contre mesures
Reconnaissance Reverse
Exploitation Engineering
& Scanning
Vulnérabilités Forensic Reporting

web
Vulnérabilité Mise en
applicatifs situation
Vulnérabilités Mobile
réseaux
200
04/05/2016
Plan de la formation
• Introduction
• Reconnaissance
• Exploitation
• Client Side
• CMS
• Contremesures et reporting
• Conclusion et perspectives
201
04/05/2016
Perspectives
Perspectives
202
04/05/2016
La Suite
• Tester vos compétences ( rootme,NewbieContest,CTF etc…)
• D’autres modules en cours de préparations
• Veuille
• Pratique
203
04/05/2016
Questions ? Remarques ? Critiques ?
204

Alphorm 160504143429

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Alphorm 160504143429

Hochgeladen von

Copyright:

Verfügbare Formate

04/05/2016

Hacking & Sécurité, Expert

• Mes formations sur Alphorm

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Consultant & Chercheur Sécurité informatique

• Microsoft MVP en sécurité des entreprises

Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Mes formations sur Alphorm

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Hacking & Sécurité

Réseaux sans Metasploit

Vulnérabilités Forensic Reporting

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Comprendre l’architecture et analyser la surface d’attaque

• Exploitation basique et avancée

• Attaques au niveau de plusieurs couches

• Approfondir ses connaissances en pentesting d’applications web

• Adopter une approche offensive

• Protéger vos applications web

• Mise en situation réel

• Toute personne en charge de la sécurité

• Personne désirant apprendre de nouvelles choses ;)

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Culture dans la sécurité des applications web

• Connaissances en programmation web ( PHP , Javascript ,HTML etc..)

• Avoir suivis les deux premiers niveaux

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Are you ready ? ☺

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Stockage de données sensibles

• 82 % de sites web on en moins une vulnérabilité critique

• 90 % des incidents ne sont jamais révélés

• 30 % des parties piratés on déjà eu connaissance de la faille

• #1 Cross Site Scripting

• #1 Des exploitations : Humain

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Gestion des connaissances

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Lab : Mise en place du lab

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Pas forcement « EXACTEMENT » ce qu’on est entrain de faire

• Une des étapes les plus importantes

• Tester avant de continuer

• Ne pas passer par cette vidéo

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Lab : Mise en place du lab

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Lab : Introduction à la reconnaissance

Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©

• Important : La reconnaissance n’est pas le scanning

• Pensez Social engineering !